L’ACTUALITÉ DU MOIS
WWW .XMCOP ARTNERS.COM
L’ACTU SÉCU N°22
Après Conficker qui reste le problème majeur a retenir ces derniers mois, dʼautres vulnérabilités ont également fait parler dʼelles... Nous présenterons, dans la suite de cet article, des failles de sécurité diverses et variées toujours aussi intéressantes à étudier :
• La pile Bluetooth Windows Mobile : une vulnérabilité de type “Directory Transversal” affecte les OS Windows Mobile 5 et 6.
• Le In-Phishing : une nouvelle technique dʼattaque de Phishing.
• Les failles Internet Explorer : description des vulnérabilités MS08-078 et MS09-002.
• Safari et les flux RSS : un flux RSS malicieux peut mener au vol de données.
• Local root sur FreeBSD : utilisation de la variable LD_PRELOAD pour obtenir les droits root sur un système Free BSD.
L’actualité du mois...
Petit tour d’horizon des vulnérabilités et de l’actualité sécurité de ces derniers mois présentées par les consultants en charge de notre service de veille...
XMCO | Partners
Bluetooth et Directory Transversal
Continuons toujours dans les problèmes de sécurité des produits Microsoft. Le mois dernier, une vulnérabilité a touché le système dʼexploitation Windows Mobile 5 et 6.
Ce système dʼexploitation implémente la pile Bluetooth Microsoft qui propose plusieurs services (Casque d'écoute, main libre, port série, transfert de fichiers, réception objet, impression) dont notamment le service OBEX FTP.
Le service OBEX (OBject Exchange) FTP est certainement le plus utilisé dʼentre tous puisquʼil permet de réaliser des transferts de fichiers entre équipements Bluetooth.
Il propose également à un équipement dʼaccéder et de naviguer au sein de lʼarborescence dʼun dossier partagé comme le montre la capture suivante :
Lʼutilisateur peut ainsi utiliser le répertoire partagé de son téléphone Bluetooth - My Device\My Documents
\Bluetooth Share – ou définir un emplacement précis.
Par défaut les répertoires My Device\My Documents\
ou Memory Card\My Documents\ ne sont pas partagés par mesure de sécurité ce qui évite lʼaccès à des images, des vidéos ou des documents personnels.
Une vulnérabilité importante a justement été identifiée au sein de ce service OBEX FTP.
Un pirate peut accéder à des dossiers non partagés en menant une attaque de Remontée de répertoires (Directory Transversal).
Le problème est lié à la validation du dossier d'accès lors de l'utilisation de ce service. En utilisant une chaîne de caractères malicieuse (../../), il est possible d'accéder à des dossiers non autorisés voire uploader des fichiers malicieux au sein de répertoires sensibles.
Le succès de cette attaque nécessite au préalable dʼêtre authentifié avec lʼéquipement Bluetooth du pirate. La portée de lʼattaque se limite donc aux équipements avec qui la victime aurait déjà échangé un fichier. Lʼutilisation de logiciels tels que OBEXFTP (présent notamment au sein de la distribution B a c k Tr a c k ) p e r m e t dʼe x p l o i t e r f a c i l e m e n t l a vulnérabilité.
La capture suivante montre comment le pirate accède au répertoire “My Documents” via de simples caractères ../..
Dʼautres logiciels plus user friendly permettent
également de mener la même malversation.
On peut alors imaginer dʼautres scénarii (autre que le vol de fichier) comme placer un cheval de Troie ou un virus au sein du système de démarrage du téléphone
\Windows\Startup.
Microsoft nʼa pas encore publié de correctifs de sécurité. Le seul conseil pour les utilisateurs de ce type de téléphone consiste uniquement à ne pas authentifier des équipements inconnus ou non désirés…
Ce document est la propriété du cabinet XMCO Partners. Toute reproduction est
strictement interdite. [38]
L’ACTU SÉCU N°22 La pile Bluetooth des équipements Windows Mobile
WWW .XMCOP ARTNERS.COM
Le principe
Du phishing au In-phishing…
Un nouveau type dʼattaque a récemment été présenté par Amit Klein.
Ce chercheur connu vient de découvrir un nouveau vecteur dʼattaque, permettant dʼaméliorer grandement le succès dʼune campagne de Phishing.
Le Phishing est une attaque consistant à obtenir des renseignements en usurpant lʼidentité dʼune personne, dʼune société ou dʼun site internet. Cette attaque a pour but dʼinciter un utilisateur à fournir des données confidentielles au pirate en se faisant passer pour un site web légitime.
Habituellement cette attaque consiste à créer un faux site web en réservant un nom de domaine proche du vrai site ciblé. Le pirate doit ensuite inciter un utilisateur à suivre un lien le menant directement vers le site web malicieux. logguée sur un site bancaire site-bancaire.com mais visite également dʼautres sites web dans le même temps dont celui du pirate. Une popup est alors affichée à lʼutilisateur et lui demande de saisir, à nouveau, ses identifiants. La popup a été, en réalité, générée par le site malveillant… La victime croît alors que la poppup provient du site bancaire et soumet son login et son mot de passe.
Détails techniques Pré-requis
Comme chaque attaque évoluée, lʼexploitation du In Phishing est dépendant de plusieurs éléments : 1. La victime doit visiter un premier site sensible.
2. La victime visite, dans un second onglet, une page malicieuse contrôlée par le pirate.
3. La page malicieuse du pirate doit pouvoir identifier sur quel site la victime est logguée (banque, webmail…) afin de générer la poppup en fonction de cette information et donc mener son attaque.
4. La victime ne se pose pas de question et soumet les identifiants au sein de la poppup qui lui est affichée.
A noter : dans un cas réel, réunir lʼensemble de ces conditions est relativement difficile. Cependant, à titre théorique, nous évoquons dans la suite de cet article, les moyens mis en œuvre pour mener à bien les points 3 et 4. Les deux premiers points étant surtout liés au social engeneering.
Identifier le site sur lequel la victime est préalablement logguée est lʼétape la plus difficile à mener par le pirate. La page malicieuse créée par le pirate doit être capable dʼobtenir cette information afin dʼafficher une poppup correspondant au site visité par la victime.
Il est évident que le pirate va cibler son attaque pour quelques sites donnés. Imaginons que le pirate souhaite voler les identifiants de Facebook, Gmail ou du site site-bancaire.com
Pour des raisons de sécurité un site placé dans un onglet ou dans une autre fenêtre du navigateur ne peux pas accéder aux informations (contenu, url etc) des autres sites.
La méthode des images protégées
Cette méthode a été découverte en novembre 2006 par le chercheur Robert Hansen (http://ha.ckers.org/
blog/20061108/detecting-states-of-authentication-with-protected-images/).
Robert Hansen a proposé une méthode qui lui permet dʼêtre certain que la victime visite en même temps le site du pirate et le site visé par lʼattaque.
Cette technique nécessite de connaître une image accessible uniquement une fois que lʼutilisateur sʼest authentifié sur le site visé par lʼattaque de Phishing.
Une balise image est insérée au sein du code du site malicieux.
Ce code force le navigateur de la personne visitant la page web malicieuse à effectuer une requête HTTP vers le site site-bancaire.com afin de télécharger lʼimage accessible uniquement par les personnes authentifiées.
Cette balise image contient également un attribut onerror, qui permet dʼexécuter une fonction si lʼimage nʼest pas chargée. En revanche, si la requête aboutie avec la réception dʼun 200 OK, le pirate peut charger lʼimage. On peut donc en conclure que lʼutilisateur est authentifié sur le site en question et la fonction (génération de la poppup malicieuse) est alors exécutée.
Dans le cas contraire, si lʼimage nʼétait pas accessible, le navigateur nʼarriverait pas à charger lʼimage. Cette fonction à pour but dʼannuler le timer, qui par conséquent empêchera lʼaffichage de la fausse fenêtre popup
1. Un utilisateur visite un site piraté (XSS, frame…).
2. Le site force le navigateur de lʼutilisateur à télécharger une image dʼun site bancaire accessible quʼune fois authentifié.
3. Le site bancaire envoie lʼimage à lʼutilisateur si celui-ci est authentifié.
4. Le site piraté que lʼutilisateur est en train de visiter affiche une popup demandant de se ré-authentifier sur le site bancaire.
5. Si lʼutilisateur renseigne ses identifiants, ceux-ci sont alors envoyés au pirate.
La page web malicieuse peut évidemment charger différentes images situées sur différents sites et afficher en conséquence la fausse fenêtre popup. Cependant, cette méthode comporte une limitation. En effet, les images sont souvent accessibles sans authentification.
Ce document est la propriété du cabinet XMCO Partners. Toute reproduction est
strictement interdite. [40]
<img src="h,p://site‐bancaire.com/
client/image‐non‐accessible.jpg"/>